A chamada “transformação digital”, que não é mais que o caminho normal da digitalização dos processos, no setor da saúde, em específico, implica a adoção urgente de medidas robustas de cibersegurança.
Quando falamos de cibersegurança e ciberataques indiferenciadamente para qualquer setor de atividade, pelo impacto que os incidentes derivados podem ter no comprometimento dos dados tratados pelas organizações, consideramos tratar-se de matéria de alto nível de criticidade e relevância. No entanto, interessa referir que este tema é especialmente preocupante para o setor da saúde, uma vez que pode não só ameaçar a segurança dos sistemas e informação, mas também a própria saúde dos utentes.
Se olharmos para os dados usualmente tratados em processos de saúde, verificamos que contêm um conjunto abrangente de dados sensíveis, incluindo a identificação pessoal e o histórico clínico completo. Dada a “hipersensibilidade” da informação contida e o quadro legal existente, atendendo, nomeadamente, às imposições do Regulamento Geral de Proteção de Dados (RGPD) e do Regime Jurídico de Segurança do Ciberespaço (RJSC), a saúde é atualmente o setor mais ameaçado em todo o mundo pela indústria do cibercrime, cada vez mais profissionalizada e especializada.
E o impacto dos ataques reflete-se a vários níveis:
Dimensão financeira;
Roubo da identidade pessoal;
Acesso indevido aos processos e histórico clínicos;
Comprometimento da segurança e saúde dos utentes;
Notificações e contraordenações das Autoridades de Controlo;
Reputação!
Assim, este setor assume no presente, particularmente e distintivamente, determinados desafios no que diz respeito à cibersegurança, sendo importante destacar:
Dados elevadamente sensíveis e rentáveis
A sensibilidade e o valor dos dados de saúde traduzem-se num maior interesse da indústria do cibercrime, sendo imprescindível uma adequada resposta por parte das entidades do setor, por meio da implementação de processos e sistemas que se traduzam numa elevada capacidade de resiliência a incidentes e ataques de cibersegurança.
Infraestrutura tecnológica complexa
Os sistemas informáticos na área da saúde incluem um emaranhado de soluções tecnológicas mais recentes e mais antigas, potenciando vulnerabilidades de segurança face a inúmeras ameaças relacionadas, incluindo a desadequação de tecnologias antigas às exigências atuais de segurança e os sistemas de integração entre aplicações por vezes desprotegidos e/ou com lacunas graves de segurança.
Mudança repentina para plataformas digitais
Com a pandemia COVID19 e o aceleramento brusco da adoção de registos de saúde eletrónicos e da telemedicina, veio todo um novo quadro de exposição para o setor que se reflete em novas exigências e medidas de cibersegurança.
Novos quadros regulamentares
As entidades são obrigadas ao cumprimento de procedimentos de cibersegurança e proteção de dados, aumentando a carga de trabalho e diligências face aos imperativos legais.
Ameaças à segurança interna
Os riscos internos existentes, face ao fator humano (colaboradores), por negligência ou propositadamente, são uma clara e enorme ameaça neste setor.
Por tudo isto, existem os regulamentos que agora se impõem implementar, particularmente para os prestadores de cuidados de saúde. Estes regimes devem servir manifestamente o propósito de criar maiores e melhores condições de segurança e proteção dos dados confiados e tratados pelas organizações responsáveis. Não se trata apenas do cumprimento de obrigações legais, mas sim da criação desses mecanismos essenciais para a salvaguarda da informação.
E entenda-se que a conformidade legal é apenas o ponto de partida, uma vez que todo o quadro de ameaças está em constante evolução e, consequentemente, as leis e as estratégias de aplicação terão de evoluir de forma a darem resposta a todo este ecossistema digital.